Почти 65% перехваченных вредоносных рассылок несли «на борту» программы-шпионы (spyware), а ТОП-3 наиболее активно эксплуатируемых шпионских программ возглавил троян AgentTesla, сообщает компания Group-IB, специализирующаяся на предотвращении кибератак. Между тем, в андеграунде мнение об эксплуатации актуальной повестки разделились: часть стремится заработать на теме коронавируса, предлагая промо-акции на свои услуги, а другие представители даркнета осуждают подобные кампании.
Сами популярными вредоносными программами, которые злоумышленники используют в своих фишинговых рассылках на тему COVID-19, оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Из шпионского ПО наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).
Программы-шпионы опасны не только тем, что способны собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, записывать нажатие клавиш на клавиатуре, но и могут похищать данные пользователей: логины, пароли из браузеров, почтовых и FTP-клиентов, а также данные банковских карт.
Сами фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, тпак и в государственный секторы России и СНГ.
К примеру, 16 марта специалисты Group-IB зафиксировали новую вредоносную рассылку якобы от лица UNICEF — международной организации, действующей под эгидой ООН. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с коронавирусом и рекомендации, как защитить своих сотрудников. К фейковому письму прилагался архив, который содержал Netwire — троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
Злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ. Например, с февраля на андеграундном форуме продается вредонос, замаскированный под интерактивную карту распространения COVID-19. Распространяется через рассылку, и, как уверяет продавец, обходит защиту Gmail. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных.
Кроме того, эксперты Group-IB Threat Hunting Intelligence зафиксировали более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т.д.
Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях.
Некоторые хакерские группы пообещали, что не будут атаковать медицинские организации, пока пандемия будет продолжаться. Недавно журналисты издания BleepingComputer обратились к некоторым хакерским группам, использующих вирусы-вымогатели (типа WannaCry) для получения выкупа от организаций по всему миру.
Операторы шифровальщиков DoppelPaymer и Maze объявили, что не станут атаковать медицинские учреждения до окончания пандемии коронавируса. Другие группировки, впрочем, не собираются играть в благородство.
В DoppelPaymer упомянули, что, как правило, они не нападают на больницы и дома престарелых и будут придерживаться этой политики во время глобального кризиса. Группа заявила, что в случае, если медицинская организация получит зашифрованные данные, жертва может связаться с ними по электронной почте или на веб-странице Tor, чтобы предоставить доказательства и получить инструменты для разблокировки компьютера.
Правда, акция невиданной щедрости хакеров не распространяется на фармацевтические компании. Представители DoppelPaymer считают, что фирмы зарабатывают на панике уйму денег, поэтому у хакеров нет никакого желания их поддерживать в этом.
Операторы шифровальщика Maze сообщили, что прекратят активность относительно любых медицинских организаций и учреждений вплоть до окончания пандемии. Также группировка Maze предложила скидки на расшифровку данных пострадавшим организациям.
В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.
Глава CERT-GIB Александр Калинин говорит, что злоумышленники могут атаковать в первую очередь именно пользователей на “удаленке”, чтобы добраться до инфраструктуры компании. В группе риска — сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет не только кража денег или персональных данных, но проникновение в корпоративную инфраструктуру через личный компьютер жертвы.
Эксперты Group-IB советуют защитить двухфакторной аутентификацией все учетные записи электронной почты удаленных сотрудников, в мессенджерах и при VPN-подключении, используемом для доступа к корпоративным сетям. Нельзя загружать и открывать корпоративные файлы на личных устройствах, не переходить по ссылкам в сообщениях, в том числе,посвященным злободневным темам (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок и тд).
